聰明的Android病毒即使完全重置后仍會重新出現(xiàn)

xHelper是一種Android惡意軟件感染，已經(jīng)存在了一段時間，安全廠商Malwarebytes于2019年5月首次檢測到它。

從那時起，大多數(shù)Android安全應(yīng)用程序都添加了xHelper檢測，這意味著大多數(shù)設(shè)備應(yīng)該已經(jīng)受到保護(hù)，免受這種形式的惡意軟件的攻擊。

但是事實(shí)證明，清潔設(shè)備比我們想象的要困難得多，因?yàn)閤Helper甚至在完全重置后仍會返回。

這怎么可能?Malwabytes表示，xHelper并非基于與固件捆綁在一起的預(yù)安裝惡意軟件，而是使用Google Play，該設(shè)備在完全重置設(shè)備或成功清除殺毒軟件后繼續(xù)提供感染服務(wù)。

“ Google Play未感染惡意軟件。但是，Google PLAY中的某些事件觸發(fā)了重新感染-可能是某些東西正在存儲中。此外，有些東西可能還會將Google PLAY用作煙幕，從而將其偽裝為惡意軟件的安裝來源，而實(shí)際上它來自其他地方。”Malwarebytes在對惡意軟件的新分析中解釋道。

停用Google Play

安全供應(yīng)商詳細(xì)說明了客戶的設(shè)備感染了xHelper的情況。在仔細(xì)檢查了受感染的Android手機(jī)上存儲的文件之后，我們發(fā)現(xiàn)特洛伊木馬程序已嵌入到位于com.mufc.umbtts目錄中的APK中。

更糟糕的是，研究人員仍然不知道如何使用Google Play觸發(fā)感染。

“這是令人困惑的部分：設(shè)備上沒有任何地方顯示Trojan.Dropper.xHelper.VRW已安裝。我們相信，它會在幾秒鐘內(nèi)再次安裝，運(yùn)行和卸載，以逃避檢測-所有這些都是由Google Play觸發(fā)的。Malwarebytes研究人員解釋說，其背后的“方式”仍然未知。

要清除感染，用戶首先需要禁用GooglePlay商店，然后才使用防病毒軟件運(yùn)行設(shè)備掃描。否則，盡管該病毒顯然已被刪除，但該惡意軟件仍將繼續(xù)傳播。